Django 权限许可和访问控制问题漏洞

漏洞介绍

Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。

Django 2.2 至2.2.16, 3.0至3.0.10和3.1至3.1.1版本中存在安全漏洞，该漏洞源于对目录的访问控制权限不足。

漏洞补丁

目前厂商已发布升级了Django 权限许可和访问控制问题漏洞的补丁，Django 权限许可和访问控制问题漏洞的补丁获取链接：

https://docs.djangoproject.com/en/dev/releases/security/

参考网址

来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20200918-0004/

来源:MISC

链接：https://www.openwall.com/lists/oss-security/2020/09/01/2

来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/[email protected]/message/ZCRPQCBTV3RZHKVZ6K6QOAANPRZQD3GI/

来源:MISC

链接：https://docs.djangoproject.com/en/dev/releases/security/

来源:MISC

链接：https://www.oracle.com/security-alerts/cpujan2021.html

来源:UBUNTU

链接：https://usn.ubuntu.com/4479-1/

来源:MISC

链接：https://groups.google.com/forum/#!topic/django-announce/Gdqn58RqIDM

来源:MISC

链接：https://groups.google.com/forum/#!topic/django-announce/zFCMdgUnutU

来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/[email protected]/message/F2ZHO3GZCJMP3DDTXCNVFV6ED3W64NAU/

来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/[email protected]/message/OLGFFLMF3X6USMJD7V5F5P4K2WVUTO3T/

来源:MISC

链接：https://www.djangoproject.com/weblog/2020/sep/01/security-releases/

来源:access.redhat.com

链接：https://access.redhat.com/security/cve/cve-2020-24584

来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Django-two-vulnerabilities-33204

来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-24584

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-002